Weiterleiten von Tabellen zur Lösung von Konflikten, wenn die zugehörigen Domänen sowohl in SaaS als auch in Web-Apps identisch sind

Die Anwendungsdomänenfunktion des Citrix Secure Workspace Access Service Access-Dienstes ermöglicht Kunden, Routing-Entscheidungen zu treffen, mit denen verwandte Domänen von Anwendungen extern oder intern über Citrix Gateway-Konnektoren geroutet werden können.

Bedenken Sie, dass der Kunde dieselben verwandten Domänen sowohl innerhalb einer SaaS-App als auch in einer internen Webanwendung konfiguriert hat. Wenn Okta beispielsweise der SAML-IdP für Salesforce (SaaS-App) und Jira (interne Web-App) ist, kann der Administrator in der Konfiguration beider Apps *.okta.com als verwandte Domäne konfigurieren. Dies führt zu einem Konflikt und der Endbenutzer erfährt inkonsistentes Verhalten. In diesem Szenario kann der Administrator Regeln definieren, um diese Anwendungen gemäß der Anforderung entweder extern oder intern über die Citrix Gateway Connectors weiterzuleiten.

Mit der Funktion Anwendungsdomänen können Administratoren auch die Citrix Gateway-Konnektoren so konfigurieren, dass die Webproxyserver des Kunden Bypass werden, um die internen Webserver zu erreichen. Diese Umgehungsrichtlinien wurden zuvor manuell konfiguriert, indem die NSCLI-Befehle auf dem Citrix Gateway-Konnektor ausgeführt wurden.

So funktioniert die Routentabelle

Die Administratoren können den Routentyp für die Apps als extern, intern oder extern über Gateway Connector definieren, je nachdem, wie sie den Verkehrsfluss definieren möchten.

  • Extern — Der Verkehr fließt direkt ins Internet.
  • Intern — Der Verkehr fließt über den Gateway Connector.
    • Für eine Web-App fließt der Verkehr innerhalb des Rechenzentrums.
    • Bei einer SaaS-App wird der Datenverkehr über den Citrix Gateway Connector außerhalb des Netzwerks geroutet.
  • Intern — Umgehungs-Proxy — Der Domänenverkehr wird über Citrix CloudGateway Connectors geleitet, wobei der auf dem Gateway Connector konfigurierte Webproxy des Kunden umgangen wird.
  • Extern über Gateway Connector - Die Apps sind extern, aber der Datenverkehr muss über den Citrix Gateway Connector zum externen Netzwerk fließen.

Hinweis:

  • Routeneinträge haben keinen Einfluss auf die erweiterten Sicherheitsrichtlinien, die für die Apps konfiguriert sind.
  • Wenn Administratoren nicht beabsichtigen, einen Eintrag in der Routing-Tabelle zu verwenden, oder wenn die entsprechenden Apps nicht wie vorgesehen funktionieren, können Administratoren den Eintrag einfach deaktivieren, anstatt ihn zu löschen.
  • Alle Citrix Gateway Connectors für einen bestimmten Kunden erhalten unabhängig vom App-Typ die SSO-Einstellungen. Zuvor war die SSO-Einstellung für eine bestimmte App an einen Ressourcenstandort gebunden.

Hauptrouten-Tabelle

Auf die Hauptrouten-Tabelle kann über die Citrix Gateway Service-Kachel zugegriffen werden.

  1. Melden Sie sich beim Citrix Cloud-Konto an.
  2. Klicken Sie auf der Kachel Citrix Gateway Service auf Verwalten.
  3. Klicken Sie auf der Seite Citrix Gateway Service auf Verwalten und dann auf Anwendungsdomänen.

Hauptrouten-Tabelle

Die Hauptrouten-Tabelle zeigt die folgenden Spalten an.

  • FQDN: FQDN, für den die Art des Verkehrsroutings konfiguriert werden soll.
  • Typ: App-Typ. Intern, externoder extern über Gateway Connector, wie beim Hinzufügen der App ausgewählt.

    Wichtig:

    Bei Konflikten wird ein Warnsymbol für die entsprechende Zeile in der Tabelle angezeigt. Um den Konflikt zu lösen, müssen Administratoren auf das Dreieckssymbol klicken und den App-Typ in der Haupttabelle ändern.

  • Ressourcenstandort: Ressourcenstandort für Routing vom Typ Intern. Wenn kein Ressourcenstandort zugewiesen wird, wird in der Spalte Ressourcenstandort für die jeweilige App ein dreieckiges Symbol angezeigt. Wenn Sie mit der Maus auf das Symbol fahren, wird die folgende Meldung angezeigt.

    Fehlender Ressourcenstandort Stellen Sie sicher, dass diesem FQDN ein Ressourcenstandort zugeordnet ist.

  • Status: Der Kippschalter in der Spalte Status kann verwendet werden, um die Route für einen Routeneintrag zu deaktivieren, ohne die App zu löschen. Wenn der Kippschalter ausgeschaltet ist, wird die Routeneingabe nicht wirksam. Wenn FQDNs mit exakter Übereinstimmung existieren, können Administratoren die Route auswählen, die aktiviert oder deaktiviert werden soll.
  • Kommentare: Zeigt ggf. Kommentare an.
  • Aktionen: Das Bearbeitungssymbol wird verwendet, um einen Ressourcenstandort hinzuzufügen oder den Typ des Routeneintrags zu ändern. Das Löschsymbol wird verwendet, um die Route zu löschen.

Fügen Sie der Tabelle Anwendungsdomänen einen FQDN hinzu

Administratoren können einen FQDN zur Tabelle Anwendungsdomänen hinzufügen und den entsprechenden Routingtyp dafür auswählen.

  1. Klicken Sie auf der Seite Anwendungsdomäne auf Hinzufügen .
  2. Geben Sie den FQDN-Namen ein und wählen Sie den entsprechenden Routingtyp für den FQDN aus.

Einen Routeneintrag hinzufügen

Mini-Routing-Tabelle

Eine Mini-Version der Tabelle Anwendungsdomänen ist verfügbar, um die Routing-Entscheidungen während der App-Konfiguration zu treffen. Die Mini-Routing-Tabelle, die im Abschnitt App Connectivity in der Citrix Gateway Service-Benutzeroberfläche verfügbar ist.

So fügen Sie der Mini-Routentabelle Routen hinzu

Die Schritte zum Hinzufügen einer App in der Citrix Gateway Service-Benutzeroberfläche bleiben dieselben wie in den Themen Unterstützung für Software als Dienst-Apps und Support für Enterprise-Webanwendungen beschrieben, mit Ausnahme der folgenden beiden Änderungen:

  1. Führen Sie hierzu die folgenden Schritte aus:
    • Wähle eine Vorlage aus.
    • Gib App-Details ein.
    • Wählen Sie soweit zutreffend erweiterte Sicherheitsdetails.
    • Wählen Sie nach Belieben die Methode für einmaliges Anmelden aus.
  2. Klicken Sie auf App Connectivity. - Eine Mini-Version der Tabelle Anwendungsdomänen ist verfügbar, um die Routing-Entscheidungen während der App-Konfiguration zu treffen.

    Mini-Routing-Tabelle

    • Domains: In der Spalte Domains werden eine oder mehrere Zeilen für eine bestimmte App angezeigt. In der ersten Zeile wird die tatsächliche App-URL angezeigt, die der Administrator beim Hinzufügen der App-Details eingegeben hat. Die anderen Zeilen sind alle verwandten Domains, die beim Hinzufügen der App-Details eingegeben werden. Wenn die App-URL und die zugehörigen Domains identisch sind, werden sie in einer Zeile angezeigt.

    Eine Zeile zeigt die SAML-Assertion-URL an, wenn SAML SSO ausgewählt ist.

    • Typ: Wählen Sie eine der folgenden Optionen aus.
      • Extern — Der Verkehr fließt direkt ins Internet.
      • Intern — Der Verkehr fließt über den Gateway Connector und die App wird als Web-App behandelt.

        • Für eine Web-App fließt der Verkehr innerhalb des Rechenzentrums.

        • Bei einer SaaS-App wird der Datenverkehr über den Citrix Gateway Connector außerhalb des Netzwerks geroutet.

      • Intern — Bypass-Proxy — Der Domänenverkehr wird über Citrix Cloud Gateway Connectors geleitet, wobei der auf dem Gateway Connector konfigurierte Webproxy des Kunden umgangen wird.
      • Extern über Gateway Connector — Die Apps sind extern, aber der Datenverkehr muss über den Citrix Gateway Connector zum externen Netzwerk fließen.
    • Ressourcenstandort: Wird autopopuliert, wenn Sie den Typ Intern für eine App auswählen. Ändern Sie es, wenn ein anderer Ressourcenstandort gewünscht wird
    • Gateway Connector-Status: Wird zusammen mit dem Ressourcenstandort autopopuliert, wenn Sie den Typ Intern für eine App auswählen.

Hinweis:

Sie können einen Gateway Connector auch über den Link “Gateway Connector installieren“ an einem neuen Ressourcenstandort hinzufügen und den Aktivierungscode für die Registrierung abrufen. Einzelheiten finden Sie unter Möglichkeiten zur Installation von Citrix Gateway Connector.

Weiterleiten von Tabellen zur Lösung von Konflikten, wenn die zugehörigen Domänen sowohl in SaaS als auch in Web-Apps identisch sind